ข้อผิดพลาดในการบันทึกการเข้าถึง "/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php" เมื่อใช้ Nginx โดยไม่มี PHP

ฉันใช้ Nginx เป็นเว็บเซิร์ฟเวอร์และยังไม่ได้ติดตั้ง PHP และโมดูลใดๆ บนเครื่อง เมื่อฉันวิเคราะห์บันทึกการเข้าถึง ฉันได้รับ:

- - [26/ก.ย./2021:20:13:30 +0000] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
- - [26/ก.ย./2021:20:13:32 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP /1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
- - [26/ก.ย./2021:20:13:33 +0000] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
- - [26/ก.ย./2021:20:13:34 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 200 1298 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ( KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"

ข้อความข้างต้นปรากฏขึ้นหลายครั้งในบันทึก

ไม่มีใครมีความคิดว่าทำไมฉันถึงได้รับนี้?

เพียงเพราะบางสิ่งไม่ได้อยู่ในนั้น ไม่ได้หมายความว่าผู้คนจะไม่สามารถขอมันได้ ;)

หากไคลเอนต์ (เว็บเบราว์เซอร์หรืออย่างอื่น) ขอบางอย่างจากเว็บเซิร์ฟเวอร์ของคุณ คำขอนี้จะถูกบันทึกในบันทึกการเข้าถึง - ไม่ว่าคำขอจะได้รับการตอบสนองสำเร็จหรือไม่ก็ตาม

เช่น คุณพิมพ์ผิดและขอ https://www.some-site.tld/newes แทน https://www.some-site.tld/news. มีโอกาสที่เซิร์ฟเวอร์ที่อยู่เบื้องหลัง บาง-site.tld จะตอบด้วยรหัสตอบกลับ 404 (หมายถึง "ไม่พบ") ​​และจะบันทึกคำขอของคุณไปที่ ใหม่ ในบันทึกการเข้าถึง จากนั้นผู้ดูแลระบบของเซิร์ฟเวอร์นี้จะเห็น ใหม่ ในบันทึกของพวกเขา แม้ว่าเส้นทางนี้อาจไม่มีอยู่ในเซิร์ฟเวอร์ของพวกเขา

รายการบันทึกสองในสามรายการของคุณมาจากคำขอที่ล้มเหลวดังกล่าว:

[26/ก.ย./2021:20:13:32 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 " 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"

หมายความว่ามี รับ คำขอเมื่อ 26/ก.ย./2021:20:13:32 +0000 ขอ /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21. เซิร์ฟเวอร์ของคุณตอบด้วยรหัสตอบกลับ 401 (หมายถึง "ไม่ได้รับอนุญาต" หรือในเงื่อนไขคนธรรมดา "คุณไม่ได้รับอนุญาตให้ไปที่นั่น")

คล้ายกับ

[26/ก.ย./2021:20:13:33 +0000] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"

ที่นี่ มีคนถามเซิร์ฟเวอร์ของคุณในวันที่ 26/ก.ย./2021:20:13:33 +0000 สำหรับ /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php. เซิร์ฟเวอร์ของคุณตอบอีกครั้งด้วยรหัส 401

คำขอที่สาม

[26/Sep/2021:20:13:34 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 200 1298 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"

หมายความว่ามีคนถามเซิร์ฟเวอร์ของคุณเมื่อ 26/Sep/2021:20:13:33 +0000 สำหรับ /?XDEBUG_SESSION_START=phpstorm. คำขอนี้ได้รับคำตอบสำเร็จ ตรงกันข้ามกับสองรายการแรก เซิร์ฟเวอร์ของคุณส่งรหัส 200 (หมายถึง "ตกลง")

การรับคำขอเช่นนี้ในตัวเองไม่จำเป็นต้องเป็นปัญหา ผู้โจมตีใช้ระบบอัตโนมัติเพื่อสแกนอินเทอร์เน็ตส่วนใหญ่เพื่อหาช่องโหว่ที่อาจเกิดขึ้นตัวอย่างเช่น เนื่องจาก WordPress แพร่หลายมาก ระบบดังกล่าวจึงพยายามเข้าถึงเส้นทาง WordPress ภายในเกี่ยวกับเซิร์ฟเวอร์ใดๆ ก็ตามที่พวกเขาสามารถทำได้ ไม่ว่าเซิร์ฟเวอร์นี้จะเคยเห็นการติดตั้ง WordPress หรือไม่ก็ตาม เปรียบเหมือนโจรย่องเบาเดินไปตามถนนและตรวจดูบ้านทุกหลังเพื่อหาหน้าต่างที่เปิดอยู่ ตราบใดที่หน้าต่างของคุณปิดสนิท คุณก็น่าจะสบายดี

มันเริ่มเป็นปัญหาเมื่อหน้าต่างของคุณ ไม่ได้ ปิดอย่างถูกต้อง ดังนั้นคุณยังคงต้องตรวจสอบบันทึกของคุณเป็นประจำและตรวจสอบว่ามีการร้องขอที่อยู่ที่อาจเป็นปัญหาจากคุณจริงหรือไม่ ทำ มีบนเซิร์ฟเวอร์ของคุณ